Logiciels de gestion de mot de passe : outil sécurisé ou point faible ?

Soyons honnêtes: au-delà du fait que se souvenir d’eux est parfois un casse-tête, les mots de passe ne sont pas en soi les verrous les plus efficaces pour protéger nos données.

En moyenne, une personne a des dizaines de combinaisons de noms d’utilisateur et de mot de passe à retenir. Les personnes qui ont une grande activité en ligne ont même parfois des centaines de combinaisons. Il est simplement impossible de tous les retenir et c’est pour cela que la majorité des personnes ont tendance à utiliser le même mot de passe encore et toujours.

Revenons sur le cas des logiciels de gestion de mot de passe les plus répandus comme MyPasswords, LastPass, Keeper, Dashlane, 1Password et bien d’autres.

Vous trouverez pour chacun d’eux des défenseurs et des détracteurs. Ils offrent généralement un moyen (du moins c’est ce qu’on attend d’eux) sécurisé de stocker et de créer des mots de passe, des notes de texte, des informations bancaires et financières et aident également à l’auto-remplissage de certains formulaires.

Sans les logiciels de gestion de mot de passe, il est presque impossible pour les utilisateurs de créer et de se souvenir de mots de passe suffisamment élaborés dont ils ont besoin pour garder leurs données en toute sécurité. La plupart d’entre nous n’allons pas faire l’effort d’essayer de créer des mots de passe élaborés – et nous allons en plus réutiliser la même combinaison pour plusieurs sites, ce qui augmente clairement le risque de se faire pirater.

Qui plus est, les logiciels de gestion de mot de passe représentent un grand problème : ils concentrent en eux un grand point de faiblesse. Ils sont pour ainsi dire la clé du château. De nos jours, la sécurité des applications est un enjeu central, et malheureusement cette sécurité est constamment remise en question.

Par exemple, il y a quelques semaines, le groupe de recherche de sécurité TeamSIK a identifié des vulnérabilités critiques dans certains logiciels de gestion de mot de passe pour Android comme par exemple 1Password, Dashlane, LastPass et autres. Comme l’écrivait l’équipe TeamSIK dans leur blog, « Certaines applications ont stocké le mot de passe principal sous un format de texte non crypté ou implémenté des codes cryptographiques codés en dur dans le code de programme. Par conséquent, les attaquants peuvent facilement contourner complètement l’algorithme crypto et ainsi accéder à toutes les données de l’utilisateur. Dans d’autres cas, l’accès à tous les ’’mots de passe / informations d’identification protégés de manière sécurisée’’ se faisait tout simplement à l’aide d’une application externe ».

Certains fabricants de logiciels de gestion de mot de passe ne prennent pas ça à la légère.

C’est le cas, par exemple, d’Agilebits, le fabricant de 1Password. Bien qu’ils aient toujours eu un programme de récompense pour les signalisations de bugs et de failles de sécurité, ils sont prêts à remercier les utilisateurs qui les alerteront de certains défauts de sécurité avec la modique somme de 100 000 dollars.

« Nous sommes convaincus que nous avons conçu et construit un système de gestion de mot de passe extrêmement sécurisé. Nous ne l’offririons pas aux gens autrement. Mais nous savons que, comme tout un chacun, nous pouvons ne pas voir certains points. C’est pourquoi nous encourageons fortement les personnes extérieures à rechercher des bugs de sécurité. Et cela se traduit aujourd’hui par l’augmentation des récompenses de notre programme de signalisation de bugs et failles », écrit la société sur son blog.

« Notre premier prix ira à quiconque pourra obtenir et déchiffrer une poésie (il s’agit plus particulièrement d’un haiku) que nous avons glissé dans un coffre-fort 1Password auquel les utilisateurs ne devraient pas avoir accès. À cette occasion nous avons fait passer la récompense de 25 000  à 100 000 dollars », peut-on lire sur le blog.

Cela va certainement attirer l’attention de plus d’un hacker. Il se peut que quelqu’un parvienne à déchiffrer le poème… ou pas. Mais en essayant de craquer la fissure de l’application pour capturer le contenu caché, ils trouveront sûrement d’autres défauts qui ont échappé à l’équipe de développement d’Agilebits.

Quoi qu’il en soit, plus il y aura de personnes cherchant à relever des défauts graves au niveau de la sécurité, plus celle-ci pourra s’améliorer. Ce genre d’action permet aux fabricants de logiciels de gestion de mot de passe de continuer à améliorer la sécurité de leurs applications, ce qui est toujours plus que bienvenu.


Auteur: George V. Hulme

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: